Client hinter IPSec erreichen

[Heigo]

Hallo,

wie kann ich einen Client 192.168.178.32 hinter IPSec vom entfernten Server aus erreichen?

Im Lancom habe ich im Bereich VPN unter IPv4 Regel folgendes festgelegt:

Code: Alles auswählen

Lokales Netzwerk: 192.168.178.0/24
Entferntes Netzwerk: 0.0.0.0/0

In der IPv4 Route ist 192.168.178.0 255.255.255.0 (IP Maskierung aus) festgelegt.

Auf dem entfernten IPSec Server ist folgendes festgelegt:

Code: Alles auswählen

​leftsubnet=0.0.0.0/0
rightsubnet=192.168.178.0/24

Ich kann nur 192.168.178.1 (Lancom Router) pingen, seltsamerweise auch 192.168.178.0, aber dafür nicht 192.168.178.32

Da kommt dann folgende Ausgabe:

Code: Alles auswählen

~# ping 192.168.178.32
PING 192.168.178.32 (192.168.178.32) 56(84) bytes of data.
From 192.168.178.0 icmp_seq=1 Destination Net Unreachable
From 192.168.178.0 icmp_seq=2 Destination Net Unreachable
From 192.168.178.0 icmp_seq=3 Destination Net Unreachable

Irgendwo steckt der Wurm drin. Mir fällt gerade spontan sein, dasss es am Layer liegen könnte?

Gruß

[GrandDixence]

From 192.168.178.0 icmp_seq=1 Destination Net Unreachable

Diesem Netzwerkteilnehmer mit der IP 192.168.178.0 fehlt in der Routingtabelle (LCOS-Menübaum/Setup/IP-Router/IP-Routing-Tabelle) ein Eintrag, wohin er die IP-Pakete mit dieser Zieladresse (192.168.178.32) schicken soll. Oder es greift noch die LANCOM-übliche Sperrroute für private IPv4-Netzwerke. Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... 20896.html

fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[Heigo]

Vielen Dank für deine Rückmeldung.

Aktuell sieht das bei mir so aus:

Screen1.png

Screen2.png

Trotzdem erhalte ich:

Code: Alles auswählen

~# ping 192.168.178.32
PING 192.168.178.32 (192.168.178.32) 56(84) bytes of data.
From 192.168.178.0 icmp_seq=1 Destination Net Unreachable

In den Lancom VPN Einstellungen habe ich NAT-T aktiviert. Ich denke das sollte soweit richtig sein.

Außerdem sieht so die IPv4 Regel für das VPN aus:

Screen4.png

[PappaBaer]

Moin,

irgendwie erscheinen mir Deine Infos widersprüchlich.

Du hast einen VPN-Tunnel in die Schweiz. Soweit so gut. Deine Default-Route im Lancom zeigt auch auf den VPN-Tunnel in Richtung Schweiz.
Aber wo genau ist denn nun das 192.168.178.0/24 Netz? Hinter dem Lancom oder in der Schweiz?
Einmal schreibst Du, dass im Lancom in den VPN-Netzwerk-Regeln dieses Netz das lokale Netz ist (also hinter dem Lancom). Auf der anderen Seite hast Du aber eine Route definiert, die besagt, dass dieses Netz über den VPN-Tunnel erreichbar ist.
Abgesehen davon, schreibst Du im Text, dass bei dieser Route die Maskierung aus ist, hängst aber einen Screenshot an, bei dem die Maskierung an ist.

VG,
Torsten

[Heigo]

@PappaBaer

Du musst verstehen, dass ich in dieser Zwischenzeit schon einige Änderungen vorgenommen habe, dadurch kann es passieren, dass der Screenshot nicht zum Zeitpunkt passt, als ich den Post erstellt habe. Die Antwort kam vorher und mit einem Edit das Screenshot. Entschuldige an dieser Stelle für die Verwirrung. Das Problem ist ungelöst, dennoch konnte ich den Grund, weshalb ich den Client hinter "VPN-Schweiz" pingen wollte dann doch lösen.
Es ging um SIP, denn auf dem IPSec läuft ne PBX-Production(Remote), diese ich mit einer anderen PBX-Developement(Local) koppeln wollte. Das ging soweit auch, Outbound Calls waren möglich, aber Inbound Calls kamen nicht an. Lag aber wohl an der lokalen PBX. Ich fande Lancom bereits schon sehr kompliziert einzurichten, aber das toppt alles. Ich schreibe wild in Asterisk Dialplan rum und in der neuen Umgebung bin ich auf jede Verknüpfung angewiesen.

"VPN-Schweiz" ist mein entfernter Server hier in Deutschland. In diesem Fall der IPSec Server.

Über den VPN Tunnel kann ich nur 192.168.178.0 und 192.168.178.1 erreichen. Die Clients hinter dem Lancom kann ich aber nicht über dessen privater IP-Adressen pingen. Darum ging es mir. Ich poste deshalb immer Screenshots, damit man es sich bildlich vorstellen kann und trotzdem habe ich einen Fehler eingeschleust. Bitte Entschuldige nochmal mein Screenshot-Chaos.

Übrigens machte es bei meinem Versuch die Clients hinter dem Lancom Router zu pingen keinen Unterschied, ob IP-Maskierung ein- oder ausgeschalten ist. Beide Versuche waren erfolglos.

Gruß

[backslash]

Hi Heigo,

Über den VPN Tunnel kann ich nur 192.168.178.0 und 192.168.178.1 erreichen. Die Clients hinter dem Lancom kann ich aber nicht über dessen privater IP-Adressen pingen

mal eine ganz triviale Frage: ist das Lancom (auf der Seite der Clients) denn auch das Default-Gateway für die "Clients hinter dem Lancom"?...

"VPN-Schweiz" ist mein entfernter Server hier in Deutschland. In diesem Fall der IPSec Server.

es ist immer noch unklar, wo denn die Schweiz ist - lokal in Deutschland oder in der Schweiz...
und wo die Clients - lokal in Deutschland oder in der Schweiz...
maximale Verwirrung

Gruß
Backslash

[Heigo]

Vielleicht beantwortet das deine Frage?

"VPN-Schweiz" ist mein entfernter Server hier in Deutschland. In diesem Fall der IPSec Server.

Eigentlich geht es nur darum zu verstehen, dass VPN-SCHWEIZ nichts anderes, als die VPN-Gegenstelle aus Sicht des Lancoms ist. Wo letztendlich der Server steht ist daher völlig irrelevant.

Nochmal zum Verständnis: Mein VPS in Berlin ist mein entfernter Server. Von diesem entfernten Server will ich meine Clients hinter dem Lancom, der hier bei mir in Schleswig-Holstein steht pingen können. Dafür fahre ich nicht nach Berlin, sondern mache das remote über SSH.

Ich schlüssel das nochmal auf:
PC-XYZ > Lancom > VPN-SCHWEIZ(VPN ROUTE oder nenne es VPS-Berlin)

Ich habe vor zu pingen über diese Richtung:

VPN-SCHWEIZ > Lancom > PC-XYZ

Was meinst du hiermit?

mal eine ganz triviale Frage: ist das Lancom (auf der Seite der Clients) denn auch das Default-Gateway für die "Clients hinter dem Lancom"?...

Falls das deine Frage beantwortet:

#PC-XYZ
Address: 192.168.178.32
Netmask: 255.255.255.0
Gateway: 192.168.178.1

[backslash]

Hi Heigo,

und du sprichst weiterhin wirr... aber sei's drum

Sind die Clients Windows-Clients? Dann könnte es sein, daß die Windows-Firewall das Ping blockiert, weil es aus einem anderen Netz kommt...
Netzwerkmässig ist das eigentlich ein völlig trivialer aufbau, der ad hoc funbktionieren muß, ohne daß du da irgendwas besonderes am LANCOM einstellen muß...

Gruß
Backslash

[Heigo]

Ich habe einfach den Gegenstellen Namen in VPN-Timbuktu umbenannt und jetzt geht los! Das war jetzt wirr, nun ja, hat sich erledigt. Ein großes Lob an unsere respektvolle Gesellschaft 2025! Du sprichst auch wirr, ich glaube wir sprechen nicht die gleiche Sprache

[PappaBaer]

Ich stelle nochmal konkret die Frage:
Hast Du im Lancom noch immer die Route 192.168.178.0 255.255.255.0 -> VPN-Schweiz (oder was auch immer) drin? (Wie im Screenshot)?

Falls ja: Lösche diese bitte raus. Das Netzwerk 192.168.178.0/24 ist doch das lokale Netz hinter Deinem Lancom. Warum also legst Du eine Route (einen Wegweiser) an, der sagt, dieses Netz läge hinter dem VPN-Tunnel in der Schweiz? Das kann nicht funktionieren.

VG,
Torsten

PS: Ich bin da leider auch bei backslash. Deine Beschreibungen sind für Techniker nicht unbedingt gut zu verstehen. Manchmal ist es sinnvoller einfach ein Bild zu malen:
Links der Lancom: Welche Netze sind hier direkt angeschlossen (vermutlich ja das 192.168.178.0/24)
Rechts die Schweiz: Welche Netze hier sind, sagst Du nicht. Aber da Du anscheinend eh eine Default-Route auf den Tunnel gelegt hast, ist das auch nicht relevant. Hauptsache ist aber, dass die Netze auf beiden Seiten eindeutig sind. D.h. gibt es hinter dem Lancom 192.168.178.0/24, dann darf es dieses Netz nicht auch in der Schweiz geben (zumindest nicht mit einer einfachen gerouteten Lösung über IPSec).